Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Einbruch ins VPN

Seite 2: Fußabdrücke

Inhaltsverzeichnis

Zur Vorbereitung eines Angriffs sammeln Einbrecher zunächst alle verfügbaren Informationen. Ein VPN-Gateway lässt sich vergleichsweise einfach identifizieren. Dazu reicht bereits ein Portscanner wie nmap völlig aus, der beispielsweise folgende Ausgabe liefert:

# nmap -sSUV -O 10.1.1.254
Starting nmap 3.70 (Interesting ports on 10.1.1.254:
PORT      STATE         SERVICE          
256/tcp   open          fw1-secureremote 
257/tcp   open          fw1-log service
259/udp   open|filtered firewall1-rdp
500/udp   open|filtered isakmp
1701/udp  open|filtered L2TP
Device type: firewall
Running: Checkpoint Windows NT/2K/XP
OS details: Checkpoint SecurePlatform NG FP3

Schon die Charakteristik der erreichbaren Ports lässt erkennen, dass es sich um eine Firewall des Herstellers Checkpoint handelt. Das von nmap eingesetzte Fingerprinting und die Diensteerkennung (oben nicht dargestellt) untermauern die Vermutung, dass man gerade eine Firewall-1 NG auf SecurePlatform untersucht hat. Der UDP Port 500 ist ein eindeutiges Zeichen, dass diese Firewall auch als VPN Gateway fungiert. Über diesen Port wickeln VPNs nämlich den geschützten Schlüsselaustausch mittels IKE (Internet Key Exchange) ab, ein elementarer Bestandteil von IPSec.

Spezielle Tools finden sogar die vom Gateway benutzten kryptografischen Verfahren und Parameter heraus -- auch das liefert Hinweise auf den Hersteller. Diese Aufgabe erledigt das freie Programm IKE-Scan [2]:

#ike-scan 10.1.1.254 --trans=5,2,1,5 -o
Starting ike-scan 1.2 with 1 hosts
10.1.1.254
IKE Main Mode Handshake returned (1 transforms)
 
IKE Backoff Patterns:
 
IP Address   No.     Recv time               Delta Time
10.1.1.254   1       1092956328.817392       0.000000
10.1.1.254   2       1092956330.923392       2.106000
10.1.1.254   3       1092956332.885392       1.962000
10.1.1.254   4       1092956334.833392       1.948000
10.1.1.254   5       1092956336.836392       2.003000
10.1.1.254   6       1092956338.835392       1.999000
10.1.1.254   7       1092956340.844392       2.009000
10.1.1.254   8       1092956344.875392       4.031000
10.1.1.254   9       1092956348.882392       4.007000
10.1.1.254   10      1092956352.866392       3.984000
10.1.1.254   11      1092956356.902392       4.036000
10.1.1.254   12      1092956360.883392       3.981000
10.1.1.254   Implementation guess: Firewall-1 4.1/NG

Die Option "-trans=5,2,1,5 " gibt die zu testenden Parameter an: 3DES, SHA, Preshared Key, Diffie Hellman Gruppe 5. Die Meldung "IKE Main Mode Handshake returned" zeigt, dass das VPN Gateway diese Parameter akzeptiert und es wird auch gleich der Hersteller angezeigt. Der erfolgreiche Einsatz dieses Tools ist allerdings sehr stark von der Konfiguration und den unterstützten Parametern des VPN-Gateways abhängig. Hier ist es häufig hilfreich, die IKE- und IPSec-Parameter von Hand oder mit Hilfe eines Skriptes durchzuprobieren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten